Von VHDX zu Remcos RAT: Eine technische Analyse eines Raffinierten Angriffsvektors (Vorfall vom 16. Juni)

Am Dienstag, dem 16. Juni, erreichte unser Bedrohungsanalyse-Team ein Bericht über einen beunruhigenden Initial Access Vector, der eine Virtual Hard Disk (VHDX)-Datei nutzte, um den berüchtigten Remcos Remote Access Trojan (RAT) zu verbreiten. Dieser Vorfall unterstreicht die wachsende Raffinesse von Bedrohungsakteuren, die versuchen, traditionelle Sicherheitskontrollen zu umgehen, und betont die kritische Notwendigkeit fortschrittlicher Endpoint Detection und robuster Benutzerschulung. Unsere Analyse zerlegt die Angriffskette, vom anfänglichen Kompromiss bis zur endgültigen Payload-Ausführung, und liefert entscheidende Einblicke für Verteidigungsstrategien.

Der Initialvektor: Bösartiges ZIP und VHDX-Dateibereitstellung

Der Angriff begann mit einem bösartigen ZIP-Archiv, dessen SHA256-Hash lautet: a0104921a2d37ab87482ac9a9f5c3713479c118846c3e999178e75b81620c094. Dieses Archiv, wahrscheinlich über Phishing-Kampagnen verbreitet, diente als primärer Bereitstellungsmechanismus. Nach dem Entpacken enthielt es eine VHDX-Datei – ein virtuelles Festplattenimage-Format, das häufig in Hyper-V-Virtualisierungsumgebungen verwendet wird. Die Wahl von VHDX ist besonders heimtückisch, da diese Dateien auf modernen Windows-Betriebssystemen (Windows 10 und neuer) automatisch als neues Laufwerk gemountet werden, wenn sie doppelt angeklickt oder geöffnet werden, ohne dass eine explizite Benutzerzustimmung über die anfängliche Dateiausführung hinaus erforderlich ist.

Diese automatische Mount-Funktion ermöglicht es dem Angreifer, typische Dateierweiterungsblockierungsmechanismen zu umgehen, die in E-Mail-Gateways und Endpunktsicherheitslösungen verbreitet sind. Anstatt direkt eine ausführbare Datei zu liefern, inszeniert der Bedrohungsakteur eine scheinbar harmlose virtuelle Festplatte. Einmal gemountet, sind die Inhalte der VHDX dem Benutzer sofort zugänglich und imitieren ein legitimes Laufwerk.

Die Payload-Phase: Ausführung von bösartigem JavaScript

Nachdem die VHDX-Datei gemountet wurde, werden dem Benutzer die Inhalte des virtuellen Datenträgers präsentiert. Innerhalb dieses gemounteten Laufwerks ist eine bösartige JavaScript-Datei strategisch platziert. Moderne Windows-Umgebungen sind so konfiguriert, dass sie JavaScript-Dateien standardmäßig mit dem Windows Script Host (WSH) ausführen, wenn sie geöffnet werden, was dies zu einer hochwirksamen Methode zur Bereitstellung der zweiten Stufe der Payload macht.

Die JavaScript-Payload führt typischerweise mehrere kritische Funktionen aus:

Initialaufklärung: Sammelt grundlegende Systeminformationen (z. B. OS-Version, Benutzername).
Obfuskation und Anti-Analyse: Oft stark obfuskiert, um statische Analyse- und Sandbox-Umgebungen zu umgehen und es Sicherheitstools zu erschweren, ihre wahre Absicht zu erkennen.
Download der sekundären Payload: Verbindet sich mit einem entfernten Command-and-Control (C2)-Server, um die Malware der letzten Stufe herunterzuladen, in diesem Fall die Remcos RAT-Ausführungsdatei.
Ausführung: Nutzt PowerShell oder cmd.exe, um die heruntergeladene Payload auszuführen, oft unter Umgehung von Application Whitelisting durch legitime Systembinärdateien.

Dieser mehrstufige Ansatz erhöht die Komplexität und erschwert die Erkennung und Analyse für Verteidiger.

Remcos RAT: Funktionen und Post-Kompromittierungsaktivitäten

Das Endziel dieser Angriffskette ist die Bereitstellung von Remcos RAT. Remcos ist ein kommerziell erhältlicher, aber weit verbreiteter Remote Access Trojaner, der für seine umfangreichen Funktionen bekannt ist und ihn zu einem Favoriten unter Cyberkriminellen und sogar einigen staatlich unterstützten Gruppen macht. Seine Funktionen umfassen:

Keylogging: Erfasst alle Tastatureingaben, ermöglicht den Diebstahl von Anmeldeinformationen.
Webcam- und Mikrofonzugriff: Ermöglicht die verdeckte Überwachung des Opfers.
Dateiexfiltration: Stiehlt sensible Dokumente und Daten vom kompromittierten System.
Remote Command Execution: Bietet volle Kontrolle über die infizierte Maschine, was die weitere Bereitstellung von Payloads oder die laterale Bewegung ermöglicht.
Screenshots und Bildschirmaufzeichnung: Visuelle Überwachung der Benutzeraktivität.
Persistenzmechanismen: Etabliert Persistenz durch verschiedene Methoden, wie das Ändern von Registrierungsschlüsseln, das Erstellen geplanter Aufgaben oder das Platzieren bösartiger Verknüpfungen in Startordnern.

Sobald Remcos RAT aktiv ist, erhält der Bedrohungsakteur dauerhaften, verdeckten Zugriff auf das System des Opfers, was eine Vielzahl bösartiger Aktivitäten ermöglicht, vom Datendiebstahl bis zur weiteren Netzwerkkompromittierung.

Bedrohungsanalyse, Attribution und Digitale Forensik

Die Untersuchung solcher Vorfälle erfordert akribische digitale Forensik und robuste Bedrohungsanalyse. Die Analyse des anfänglichen ZIP-Archivs, der internen Struktur der VHDX, des de-obfuskierten JavaScript-Codes und der Remcos RAT-Binärdatei liefert entscheidende Indicators of Compromise (IOCs) wie Dateihashes, C2-IP-Adressen und Domänennamen.

Im Bereich der digitalen Forensik und der Attribution von Bedrohungsakteuren sind Tools, die erweiterte Telemetriedaten liefern, unverzichtbar. Wenn beispielsweise die C2-Infrastruktur oder verdächtige ausgehende Verbindungen untersucht werden, kann ein Dienst wie iplogger.org genutzt werden, um wichtige Daten wie IP-Adressen, User-Agent-Strings, ISP-Details und eindeutige Geräte-Fingerabdrücke zu sammeln. Diese Art der Netzwerkrekonstitution hilft bei der Kartierung der Angreiferinfrastruktur, der Identifizierung geografischer Ursprünge und dem Verständnis der Umgebung des Opfers aus der Perspektive des Angreifers, was die umfassendere forensische Analyse und den Incident-Response-Prozess unterstützt.

Minderungs- und Verteidigungsstrategien

Die Abwehr dieses raffinierten Angriffsvektors erfordert einen mehrschichtigen Sicherheitsansatz:

Verbesserte E-Mail-Sicherheit: Implementieren Sie robuste E-Mail-Gateways, die erweiterte Anhangsscans, Sandboxing und heuristische Analyse durchführen können, um bösartige ZIP-Archive zu erkennen und zu blockieren.
Endpoint Detection and Response (EDR): Setzen Sie EDR-Lösungen ein, die verdächtige Prozessausführungen (z. B. JavaScript, das PowerShell startet), Dateisystemänderungen (VHDX-Mounting) und anomale Netzwerkverbindungen (C2-Kommunikation) überwachen können.
Benutzerbewusstseinsschulung: Klären Sie Benutzer über die Gefahren unaufgeforderter Anhänge auf, insbesondere solcher, die zu virtuellen Festplattenimages führen, und über die Bedeutung der Überprüfung der Absenderlegitimität.
Anwendungssteuerung/Whitelisting: Implementieren Sie strenge Anwendungssteuerungsrichtlinien, um die Ausführung nicht autorisierter Skripte und ausführbarer Dateien zu verhindern.
Deaktivierung des Auto-Mounts für VHDX/ISO: Obwohl nicht immer in allen Umgebungen praktikabel, sollten Group Policy Objects (GPOs) in Betracht gezogen werden, um das automatische Mounten von virtuellen Festplattenimages aus nicht vertrauenswürdigen Quellen einzuschränken oder zu deaktivieren.
Netzwerksegmentierung und -überwachung: Isolieren Sie kritische Systeme und überwachen Sie den Netzwerkverkehr auf verdächtige C2-Muster.
Regelmäßiges Patchen und Aktualisieren: Stellen Sie sicher, dass alle Betriebssysteme und Software auf dem neuesten Stand sind, um bekannte Schwachstellen zu beheben, die Angreifer ausnutzen könnten.

Fazit

Der Vorfall vom 16. Juni, bei dem VHDX-Dateien zur Bereitstellung von Remcos RAT über bösartiges JavaScript verwendet wurden, dient als drastische Erinnerung an die dynamische Bedrohungslandschaft. Bedrohungsakteure entwickeln ihre Initial Access Vectors kontinuierlich weiter, um etablierte Abwehrmaßnahmen zu umgehen. Eine proaktive und adaptive Sicherheitshaltung, die fortschrittliche technische Kontrollen mit kontinuierlicher Benutzerschulung kombiniert, ist entscheidend, um solchen raffinierten Cyberbedrohungen effektiv zu begegnen.